Post on 03-Jan-2016
description
Proyecto final elo323: Protocolo
de seguridad HTTPS
Integrantes: - Marcel Barraza - Cristian Campos
- Andrés Medina
¿Porqué nace HTTPS?● Internet es por esencia inseguro.
● Ha medida que internet fue evolucionando fue entregando servicios nuevos como transacciones comerciales, manejo de cuentas comerciales, venta de productos, entre otros.
● Nace la necesidad de crear un protocolo que sea seguro y que soporte los nuevos servicios.
Soluciones a este problema
●SSL: Secure Sockets Layer desarrollado por Netscape para asegurar confidencialidad, autenticación, e integridad usado por HTTPS.
●S-HTTP: Secure HyperText Transfer Protocol desarrollado por E. Rescorla y A. Schiffman de Enterprise Integration Technologies (EIT). es la evolución de SSL.
●TLS:Transport Layer Security
●PCT , SET, Cybercash, entre otros.
Soluciones a este problema
Luego HTTPS se vale de los protocolos antes mencionados SSL o TLS para proveer canal de cifrado para la transferencia de hipertexto en internet.
HTTPS
HTTPS
HTTPS (Hypertext Transfer Protocol Secure), es una combinación del protocolo HTTP y protocolos criptográficos. Se usa para conexiones más seguras en el WWW. Algunos de sus usos principales son la transferencia de información sensible como claves, transacciones comerciales, en internet.
HTTPS
La idea principal del protocolo es crear un canal seguro sobre una red insegura.La confianza viene dada por la autoridad certificadora preinstalada en el software del navegador.
Características Técnicas
Cifrado basado en SSL/TLS para crear un canal cifrado, nivel de cifrado depende del servidor remoto y del navegador utilizado.Trabaja en puerto 443.Trabaja en capa de aplicaciones, pero el protocolo de seguridad opera en la capa de red, donde cifra y descifra todo los mensajes recibido.
HTTP vs HTTPS
HTTP: Utiliza como defecto el puerto número 80, y las URLs comienzan en forma de http://, es inseguro contra ataques de man-in-the-middle y eavesdropping.HTTPS: Utiliza como defecto el puerto número 443, y las URLs comienza de la forma https://, esta diseñado para resistir esos ataques y ser seguro.
Ejemplos
Demostración práctica del funcionamiento de HTTPS
-Idea: Verificar de alguna forma el funcionamiento de HTTPS en la práctica.
- Para esto, se optó por captar y analizar los paquetes de datos de una conexión HTTPS, utilizando la herramienta wireshark.
Demostración practica de HTTPS : Resultados
Diagrama teórico conexión HTTPS, usando SSL/TLS :
handshake: ClientHello
handshake: ServerHello
handshake: Certificate
handshake: ServerHelloDone
handshake: ClientKeyExchangeChangeCipherSpec
handshake: Finished
ChangeCipherSpec
handshake: Finished
application_data
application_data
Demostración practica de HTTPS : Resultados
Paquetes captados utilizando herramienta wireshark :
Estructura y datos de paquetes HTTPS en la practica:
Paquetes captados utilizando herramienta wireshark :
Client Hello: Métodos de compresión soportados por el cliente
Estructura y datos de paquetes HTTPS en la practica:
Paquetes captados utilizando herramienta wireshark :
Server Hello, Certificate, ServerHelloDone: Client Key Exchange, Change cipher Spec, Encrypted Handshake Message:
Conclusiones
-HTTPS soluciona la problemática inicialmente planteada por medio de la utilización de protocolos de seguridad como SSL o TLS.
- Actualmente HTTPS trabaja mayormente bajo TLS, la versión evolucionada de SSL.
- Se pudo comprobar de manera practica la estructura de comunicación y forma de los paquetes que posee el protocol HTTPS.
¿PREGUNTAS?